Rapport détaillé sur le vol de cryptomonnaie : seulement 105 dollars sur le dark web

marsbitPublié le 2025-12-29Dernière mise à jour le 2025-12-29

Résumé

L'article détaille le parcours des données volées via des attaques de phishing, depuis leur collecte jusqu'à leur vente sur le dark web. Les méthodes de collecte incluent l'envoi par email, l'utilisation de bots Telegram et des panels d'administration automatisés. Les données ciblées vont aux identifiants de comptes en ligne (88,5 % des cas), aux informations personnelles (9,5 %) et aux données bancaires (2 %). Une fois volées, elles sont triées, vérifiées et vendues sur des marchés clandestins, parfois pour aussi peu que 50 $. Les comptes sont valorisés selon leur ancienneté, solde, méthodes de paiement liées et notoriété du service. L'article souligne que les données ne disparaissent jamais et peuvent être utilisées des années plus tard pour des attaques ciblées. Il conseille aux victimes de geler les comptes compromis, d'utiliser des mots de passe uniques, d'activer la double authentification et de surveiller activement leur empreinte numérique.

Auteur : Olga Altukhova Éditeur : far@Centreless

Compilation : Centreless X(Twitter)@Tocentreless

Une attaque de phishing typique implique généralement qu'un utilisateur clique sur un lien frauduleux et saisisse ses informations d'identification sur un site web contrefait. Cependant, l'attaque est loin d'être terminée à ce stade. Une fois que les informations confidentielles tombent entre les mains des cybercriminels, elles deviennent immédiatement une marchandise, entrant dans la « chaîne de production » des marchés du dark web.

Dans cet article, nous retracerons le parcours des données volées : de leur collecte via divers outils (comme les robots Telegram et les panneaux d'administration avancés), à leur vente et leur utilisation ultérieure pour de nouvelles attaques. Nous explorerons comment les noms d'utilisateur et mots de passe autrefois divulgués sont intégrés dans de vastes profils numériques, et pourquoi même des fuites de données vieilles de plusieurs années peuvent encore être exploitées par les criminels pour mener des attaques ciblées.

Mécanismes de collecte de données dans les attaques de phishing Avant de retracer la destination ultérieure des données volées, nous devons d'abord comprendre comment ces données quittent les pages de phishing et parviennent aux cybercriminels.

En analysant de véritables pages de phishing, nous avons identifié les méthodes de transmission de données les plus courantes :

  • Envoi à une adresse e-mail
  • Envoi à un robot Telegram
  • Téléversement vers un panneau d'administration

Il est à noter que les attaquants utilisent parfois des services légitimes pour collecter des données, afin de rendre leurs serveurs plus difficiles à détecter. Par exemple, ils peuvent utiliser des services de formulaires en ligne comme Google Forms, Microsoft Forms, etc. Les données volées peuvent également être stockées sur GitHub, des serveurs Discord ou d'autres sites web. Cependant, pour faciliter cette analyse, nous nous concentrerons sur les principales méthodes de collecte de données mentionnées ci-dessus.

E-mail

Les données saisies par les victimes dans le formulaire HTML de la page de phishing sont envoyées via un script PHP au serveur de l'attaquant, qui les transmet ensuite à une adresse e-mail contrôlée par l'attaquant. Cependant, cette méthode est en déclin en raison des nombreuses limitations des services de messagerie – tels que les retards de livraison, la possibilité que l'hébergeur bloque le serveur expéditeur, et la difficulté de manipulation de grandes quantités de données.

Contenu du kit de phishing

Par exemple, nous avons analysé un kit de phishing (phishing kit) ciblant les utilisateurs de DHL. Le fichier index.php contient un formulaire de phishing conçu pour voler les données utilisateur (ici, une adresse e-mail et un mot de passe).

Formulaire de phishing imitant le site web de DHL

Les informations saisies par la victime sont ensuite envoyées, via un script dans le fichier next.php, à l'adresse e-mail spécifiée dans le fichier mail.php.

Contenu des scripts PHP

Robot Telegram

Contrairement à la méthode précédente, les scripts utilisant un robot Telegram spécifient une URL d'API Telegram contenant un jeton de robot (bot token) et un identifiant de chat (Chat ID) correspondant, plutôt qu'une adresse e-mail. Dans certains cas, ce lien est même codé en dur dans le formulaire HTML de phishing. Les attaquants conçoivent des modèles de messages détaillés qui sont automatiquement envoyés au robot après le vol réussi des données. Un exemple de code est le suivant :

Extrait de code pour la soumission des données

Comparé à l'envoi de données par e-mail, l'utilisation d'un robot Telegram offre aux phishers des fonctionnalités plus puissantes, c'est pourquoi cette méthode gagne en popularité. Les données sont transmises au robot en temps réel, et l'opérateur est immédiatement notifié. Les attaquants utilisent souvent des robots jetables, plus difficiles à tracer et à bannir. De plus, leurs performances ne dépendent pas de la qualité du service d'hébergement de la page de phishing.

Panneaux d'administration automatisés

Les cybercriminels plus expérimentés utilisent des logiciels spécialisés, y compris des frameworks commerciaux comme BulletProofLink et Caffeine, souvent proposés sous forme de « Plateforme en tant que Service » (PaaS). Ces frameworks fournissent une interface Web (tableau de bord) pour gérer les campagnes de phishing.

Toutes les données collectées par les pages de phishing contrôlées par l'attaquant sont agrégées dans une base de données unifiée et peuvent être visualisées et gérées via leur interface de compte.

Envoi des données au panneau d'administration

Ces panneaux d'administration sont utilisés pour analyser et traiter les données des victimes. Les fonctionnalités spécifiques varient selon les options de personnalisation du panneau, mais la plupart des tableaux de bord offrent généralement les capacités suivantes :

  • Statistiques en temps réel classées : visualiser le nombre d'attaques réussies par temps, par pays, et prendre en charge le filtrage des données
  • Validation automatique : certains systèmes peuvent automatiquement vérifier la validité des données volées, comme les informations de carte de crédit ou les identifiants de connexion
  • Exportation des données : prise en charge du téléchargement des données dans divers formats, facilitant une utilisation ou une vente ultérieure

Exemple de panneau d'administration

Les panneaux d'administration sont des outils clés pour les groupes de cybercriminalité organisée.

Il est important de noter qu'une campagne de phishing utilise souvent plusieurs des méthodes de collecte de données mentionnées ci-dessus simultanément.

Types de données convoitées par les cybercriminels

Les données volées via des attaques de phishing ont des valeurs et des utilisations variées. Entre les mains des criminels, ces données sont à la fois un moyen de profit et un outil pour mener des attaques complexes en plusieurs étapes.

Selon leur utilisation, les données volées peuvent être classées dans les catégories suivantes :

  • Monétisation immédiate : vente en vrac directe de données brutes, ou vol immédiat de fonds depuis le compte bancaire ou le portefeuille électronique de la victime
  1. Informations de carte bancaire : numéro de carte, date d'expiration, nom du titulaire, code CVV/CVC
  2. Comptes de banque en ligne et portefeuilles électroniques : identifiant, mot de passe, et codes de vérification à deux facteurs (2FA) à usage unique
  3. Comptes liés à une carte bancaire : identifiants de connexion pour des boutiques en ligne, des services d'abonnement ou des systèmes de paiement comme Apple Pay/Google Pay
  • Utilisées pour des attaques ultérieures afin d'obtenir plus de revenus : utilisation des données volées pour lancer de nouvelles attaques et obtenir des gains supplémentaires
  1. Identifiants de divers comptes en ligne : nom d'utilisateur et mot de passe. Il est à noter que même sans mot de passe, seule l'adresse e-mail ou le numéro de téléphone utilisé comme identifiant a de la valeur pour l'attaquant
  2. Numéros de téléphone : utilisés pour les escroqueries téléphoniques (comme l'obtention frauduleuse de codes 2FA) ou pour mener du phishing via des applications de messagerie instantanée
  3. Informations personnelles d'identification : nom complet, date de naissance, adresse, etc., souvent utilisées dans les attaques d'ingénierie sociale
  • Utilisées pour des attaques ciblées, le chantage, l'usurpation d'identité et le deepfake
  1. Données biométriques : voix, images faciales
  2. Copies scannées et numéros de documents personnels : passeport, permis de conduire, carte de sécurité sociale, numéro d'identification fiscale, etc.
  3. Selfies avec pièce d'identité : utilisés pour les demandes de prêts en ligne et la vérification d'identité
  4. Comptes d'entreprise : utilisés pour des attaques ciblées contre les entreprises

Nous avons analysé les attaques de phishing et d'escroquerie survenues entre janvier et septembre 2025 pour déterminer les types de données les plus souvent ciblés par les criminels. Les résultats montrent que : 88,5 % des attaques visaient à voler divers identifiants de comptes en ligne, 9,5 % ciblaient les informations personnelles d'identification (nom, adresse, date de naissance), et seulement 2 % se concentraient sur le vol d'informations de carte bancaire.

Vente de données sur les marchés du dark web

Outre leur utilisation pour des attaques en temps réel ou une monétisation immédiate, la plupart des données volées ne sont pas utilisées tout de suite. Examinons de plus près son parcours :

1. Vente de données groupées

Les données sont consolidées et vendues sous forme de « packs de données » (dumps) sur les marchés du dark web – ces archives compressées contiennent généralement des millions d'enregistrements provenant de diverses attaques de phishing et fuites de données. Un pack de données peut se vendre à partir de 50 dollars. Les principaux acheteurs ne sont souvent pas des escrocs actifs, mais des analystes de données du dark web, qui sont le maillon suivant de la chaîne d'approvisionnement.

2. Classement et validation

Les analystes de données du dark web trient les données par type (comptes e-mail, numéros de téléphone, informations de carte bancaire, etc.) et exécutent des scripts automatisés pour les valider. Cela inclut la vérification de la validité des données et de leur potentiel de réutilisation – par exemple, si un couple nom d'utilisateur/mot de passe Facebook peut également permettre de se connecter à Steam ou Gmail. Étant donné que les utilisateurs ont tendance à utiliser le même mot de passe sur plusieurs sites, des données volées il y a plusieurs années à un service peuvent encore être valables aujourd'hui pour d'autres services. Les comptes vérifiés et toujours actifs se vendent à un prix plus élevé.

Les analystes associent et consolident également les données utilisateur provenant de différents incidents d'attaque. Par exemple, un ancien mot de passe divulgué sur les réseaux sociaux, des identifiants de connexion obtenus via un formulaire de phishing imitant un portail gouvernemental, et un numéro de téléphone laissé sur un site frauduleux, peuvent tous être compilés en un profil numérique complet d'un utilisateur spécifique.

3. Vente sur des marchés spécialisés

Les données volées sont généralement vendues via des forums du dark web et Telegram. Ce dernier est souvent utilisé comme une « boutique en ligne », affichant les prix, les avis des acheteurs, etc.

Offres de données de réseaux sociaux, telles qu'affichées sur Telegram

Le prix des comptes varie considérablement, dépendant de nombreux facteurs : l'ancienneté du compte, le solde, les modes de paiement liés (carte bancaire, portefeuille électronique), l'activation ou non de l'authentification à deux facteurs (2FA), et la notoriété de la plateforme de service. Par exemple, un compte de commerce électronique lié à une adresse e-mail, avec 2FA activé, une longue histoire d'utilisation et de nombreux enregistrements de commandes, se vendra plus cher ; pour un compte de jeu comme Steam, des achats de jeux coûteux augmenteront sa valeur ; et les données de banque en ligne impliquant des comptes à solde élevé et provenant de banques réputées auront une prime significative.

Le tableau ci-dessous montre des exemples de prix pour divers types de comptes trouvés sur les forums du dark web jusqu'en 2025*.

4. Sélection des cibles à haute valeur et attaques ciblées

Les criminels portent une attention particulière aux cibles à haute valeur – c'est-à-dire les utilisateurs détenant des informations importantes, comme les cadres d'entreprise, les comptables ou les administrateurs de systèmes informatiques.

Prenons un scénario possible d'attaque de « whaling » (chasse à la baleine) : l'entreprise A subit une fuite de données contenant des informations sur un employé qui y travaillait auparavant et qui est maintenant cadre dans l'entreprise B. Les attaquants, par une analyse de renseignement de sources ouvertes (OSINT), confirment que cet utilisateur travaille actuellement pour l'entreprise B. Ensuite, ils forgent soigneusement un e-mail de phishing semblant provenir du PDG de l'entreprise B et l'envoient à ce cadre. Pour renforcer la crédibilité, l'e-mail peut même faire référence à certains faits concernant l'utilisateur dans son ancienne entreprise (bien sûr, les techniques d'attaque ne s'arrêtent pas là). En réduisant la vigilance de la victime, les criminels ont une chance d'infiltrer davantage l'entreprise B.

Il est important de noter que de telles attaques ciblées ne se limitent pas au domaine des entreprises. Les attaquants peuvent également cibler des individus ayant des soldes bancaires élevés, ou des utilisateurs détenant des documents personnels importants (comme ceux requis pour une demande de microcrédit).

Principales conclusions

Le flux des données volées ressemble à une chaîne de production efficace, chaque information devenant une marchandise avec un prix clair. Les attaques de phishing actuelles utilisent largement des systèmes diversifiés pour collecter et analyser des informations sensibles. Une fois volées, les données affluent rapidement vers des robots Telegram ou les panneaux d'administration des attaquants, où elles sont ensuite classées, validées et monétisées.

Nous devons être conscients : une fois que des données sont divulguées, elles ne disparaissent pas. Au contraire, elles s'accumulent constamment, sont consolidées, et peuvent être utilisées des mois ou même des années plus tard pour mener des attaques ciblées, du chantage ou de l'usurpation d'identité contre les victimes. Dans l'environnement numérique actuel, rester vigilant, utiliser un mot de passe unique pour chaque compte, activer l'authentification multifacteur et surveiller régulièrement son empreinte numérique n'est plus un conseil, mais une nécessité de survie.

Si vous avez malheureusement été victime d'une attaque de phishing, veuillez prendre les mesures suivantes :

  1. Si les informations de votre carte bancaire sont compromises, contactez immédiatement votre banque pour la bloquer et la faire opposition.
  2. Si vos identifiants de compte sont volés, changez immédiatement le mot de passe de ce compte, et modifiez également tous les mots de passe des autres services en ligne utilisant le même mot de passe ou un mot de passe similaire. Veillez à utiliser un mot de passe unique pour chaque compte.
  3. Activez l'authentification multifacteur (MFA/2FA) sur tous les services qui la prennent en charge.
  4. Vérifiez l'historique de connexion de vos comptes et mettez fin à toute session suspecte.
  5. Si votre compte de messagerie instantanée ou de réseau social est compromis, informez immédiatement vos proches et amis, en les alertant sur les messages frauduleux envoyés en votre nom.
  6. Utilisez des services spécialisés (comme Have I Been Pwned, etc.) pour vérifier si vos données apparaissent dans des fuites de données connues.
  7. Soyez extrêmement vigilant envers tout e-mail, appel ou offre reçu(e) de manière inattendue – ils peuvent sembler crédibles précisément parce que l'attaquant utilise vos données divulguées.

Questions liées

QQuels sont les trois principaux mécanismes de collecte de données identifiés dans les attaques de phishing ?

ALes trois principaux mécanismes de collecte de données sont : l'envoi à une adresse e-mail, l'envoi à un bot Telegram, et le téléchargement vers un panneau d'administration.

QPourquoi l'utilisation des bots Telegram est-elle de plus en plus populaire parmi les cybercriminels pour collecter les données ?

AL'utilisation des bots Telegram offre des fonctionnalités plus avancées : les données sont transmises en temps réel, les opérateurs sont notifiés immédiatement, les bots jetables sont plus difficiles à tracer et à bloquer, et les performances ne dépendent pas de la qualité de l'hébergement de la page de phishing.

QQuel type de données est le plus ciblé par les attaques de phishing selon l'analyse de 2025 ?

ASelon l'analyse des attaques de phishing et d'escroquerie de janvier à septembre 2025, 88,5 % des attaques visaient à voler les identifiants de comptes en ligne de divers services.

QComment les données volées sont-elles généralement vendues sur le dark web ?

ALes données volées sont généralement regroupées en lots (appelés 'dumps') contenant des millions d'enregistrements, puis vendues sur des marchés du dark web et via Telegram. Le prix peut être aussi bas que 50 dollars. Les données sont ensuite triées, vérifiées et revendues à un prix plus élevé si les comptes sont toujours actifs.

QQuelles sont les mesures recommandées si vous êtes victime d'une attaque de phishing ?

ALes mesures recommandées sont : contacter sa banque pour bloquer les cartes si les informations bancaires sont compromises, changer immédiatement les mots de passe des comptes concernés et de tous les services utilisant un mot de passe similaire, activer l'authentification multifacteur (MFA/2FA), vérifier l'historique de connexion, avertir ses proches si un compte de médias sociaux est piraté, vérifier si ses données ont fuité via des services spécialisés, et rester vigilant face aux communications inattendues.

Lectures associées

Un expert montre comment la performance du XRP a surpassé celle des fonds spéculatifs

Le spécialiste de la cryptomonnaie Vandell a démontré que le XRP a surperformé les fonds hedge depuis son lancement, malgré les critiques sur son appréciation. Le token est passé de 0,0028 $ en 2014 à un sommet historique de 3,64 $ en 2025, générant un rendement d'environ 129 900 %. Vandell estime que cette tendance haussière devrait se poursuivre, portée par l'augmentation de la masse monétaire et l'adoption institutionnelle, indépendamment de l'utilité du token. Il évoque également le potentiel du "CLARITY Act" comme catalyseur de croissance, attirant des billions de dollars dans le secteur. Bien qu'un prix de 1 000 $ soit envisageable à long terme, cela pourrait prendre des décennies, dépendant principalement de l'équilibre offre-demande. Avec une offre limitée et une demande soutenue, Vandell encourage les investisseurs à se positionner en anticipation de cette hausse plutôt que de spéculer sur son timing. Au moment de la rédaction, le XRP s'échange à environ 1,44 $.

bitcoinistIl y a 3 h

Un expert montre comment la performance du XRP a surpassé celle des fonds spéculatifs

bitcoinistIl y a 3 h

Les prévisions de liquidité indiquent qu'Ozak AI atteindra une valorisation diluée totale de 1,5 milliard de dollars peu après son lancement

Les prévisions de liquidité indiquent qu'Ozak AI pourrait atteindre une valorisation diluée totale de 1,5 milliard de dollars peu après son lancement. Les analystes s'appuient sur le succès de la prévente, avec plus de 1,17 milliard de jetons vendus à 0,014 $ et plus de 6,8 millions de dollars levés, ce qui réduit les risques à la mise en bourse. La structure du projet permet à des injections de liquidités relativement faibles de générer une expansion de valorisation importante, visant rapidement le seuil du milliard. Son utilité dans l'infrastructure IA, avec ses agents de prédiction, son réseau de données en temps réel et ses intégrations techniques, justifie des multiples de valorisation plus élevés. Des partenariats avec Pyth Network et d'autres renforcent également la confiance. Ozak AI est donc perçu comme un actif de croissance porté par la liquidité, capable d'atteindre rapidement une valorisation de grande envergure.

TheNewsCryptoIl y a 7 h

Les prévisions de liquidité indiquent qu'Ozak AI atteindra une valorisation diluée totale de 1,5 milliard de dollars peu après son lancement

TheNewsCryptoIl y a 7 h

Le projet de loi CLARITY atteint un moment charnière : la cryptomonnaie américaine à un carrefour réglementaire

Un tournant historique pour la régulation des cryptomonnaies aux États-Unis se joue en 2026. Le « CLARITY Act », loi cruciale pour définir la structure du marché des actifs numériques, doit être approuvé par la commission bancaire du Sénat avant fin avril, sans quoi son adoption pourrait être reportée de plusieurs années. Parallèlement, le « GENIUS Act », déjà adopté, impose un cadre prudentiel aux stablecoins, favorisant une concentration du marché autour d’acteurs conformes comme USDC et USAT (la nouvelle entité de Tether pour le marché institutionnel américain), tout en comprimant la place de l’USDT. Un compromis bipartisan, mené par les sénateurs Tillis et Alsobrooks, propose d’autoriser les récompenses sur les stablecoins liées à des activités, mais d’interdire les rendements passifs purs, une question au cœur des tensions avec le secteur bancaire traditionnel. La Maison Blanche, sous Trump, pousse pour une adoption rapide, mais fait face à des défis politiques, notamment sur les conflits d’intérêts des responsables gouvernementaux. Si la loi est adoptée, elle pourrait déclencher l’entrée de billions de dollars de capitaux institutionnels (fonds de pension, assureurs) et aligner les standards américains avec le règlement européen MiCA, renforçant la compétitivité mondiale des États-Unis. Son rejet profiterait aux places financières concurrentes comme l’UE, Hong Kong ou Singapour, et retarderait considérablement l’intégration des cryptomonnaies dans le système financier traditionnel. La conformité réglementaire devient l’avantage compétitif décisif pour l’avenir.

marsbitIl y a 7 h

Le projet de loi CLARITY atteint un moment charnière : la cryptomonnaie américaine à un carrefour réglementaire

marsbitIl y a 7 h

L'Exposition en Bourse Pourrait Porter le Volume Quotidien d'Ozak AI au-Delà de 500 Millions de Dollars Dès le Premier Mois de Négociation

Ozak AI ($OZ), une innovation combinant l'IA et les réseaux décentralisés (DePIN), a déjà levé plus de 5 millions de dollars en prévente. Pendant cette phase, des millions de jetons ont été vendus à un prix actuel d'environ 0,014 $, créant les conditions d'une liquidité initiale élevée. Les inscriptions en bourse pourraient amplifier la visibilité et déclencher une activité de trading importante, incluant arbitrage, spéculation et utilité réelle. Avec un prix bas et un récit centré sur l'IA, le volume quotidien pourrait dépasser 500 millions de dollars durant le premier mois. Des partenariats stratégiques (SINT, Hive Intel, Weblume, Pyth Network, Dex3) renforcent la crédibilité et les fonctionnalités. Contrairement aux projets purement spéculatifs, Ozak AI s’appuie sur une utilité concrète, suggérant une demande soutenue au-delà du lancement.

TheNewsCryptoIl y a 8 h

L'Exposition en Bourse Pourrait Porter le Volume Quotidien d'Ozak AI au-Delà de 500 Millions de Dollars Dès le Premier Mois de Négociation

TheNewsCryptoIl y a 8 h

Audition de Warsh terminée : quels sont les signaux à surveiller pour l'industrie de la cryptographie ?

L'audience de confirmation de Judy Shelton (nommée par Trump à la Fed) a mis en lumière plusieurs enjeux pour le secteur cryptographique. Shelton, qui détient d'importants investissements dans des entreprises de cryptomonnaies (Solana, Lemon Cash, etc.), a promis de les vendre pour respecter les règles d'éthique. Lors de l'audience, elle a défendu son indépendance face aux pressions de Trump pour baisser les taux, mais a évité de reconnaître la défaite électorale de 2020, suscitant des doutes sur sa neutralité. Elle a qualifié l'inflation post-pandémie "d'erreur politique fatale" et prôné un changement de régime monétaire, incluant une réforme du cadre d'inflation et une communication moins prévisible de la Fed. Pour les cryptomarchés, ses positions suggèrent une approche potentiellement favorable à la dérégulation et une connaissance intime de l'écosystème. Cependant, son plan de réduction agressive du bilan de la Fed (6 700 milliards de dollars) pourrait impacter la liquidité mondiale, un facteur clé pour les actifs numériques. Son refus d'étendre le principe d'indépendance à la régulation bancaire soulève aussi des questions sur les risques de conflits d'intérêts, notamment liés aux entreprises cryptos de la famille Trump.

marsbitIl y a 8 h

Audition de Warsh terminée : quels sont les signaux à surveiller pour l'industrie de la cryptographie ?

marsbitIl y a 8 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow